„Kopia danych” z BIK a oczekiwania RODO

"kopia danych" z BIK musi spełniać wymagania RODO

„Kopia danych” z BIK musi spełniać wymagania RODO

Jeden z czytelników mojej strony zaproponował, aby omówić, jakie wymagania wobec kopii naszych danych stawia RODO i jak spełnia je „kopia danych” udostępniana przez BIK. I to zrobię w tym tekście.

Jeżeli nie wiesz jeszcze nic na temat „kopii danych” z BIK, to zachęcam do przeczytania artykułu BIK wycofał Informację Ustawową. Teraz mamy RODO i „kopię danych” oraz „Kopia danych” z BIK. Finał sprawy.

Ponieważ już dwukrotnie opisywałam różne kwestie związane z „kopią danych” udostępnianą przez BIK, to część informacji, które podam w tym artykule, może być powtórzeniem tego, co pisałam wcześniej. Mimo to, muszę je przytoczyć, ponieważ są ważne dla omawianego tematu.

Zacznę od przypomnienia, że sprawa udostępniania naszych danych przez ich administratora została uregulowana w artykule 15 RODO. Aby lepiej poznać intencje ustawodawcy unijnego w tym zakresie, warto też zajrzeć do preambuły do RODO. Natomiast można pominąć polską Ustawę o ochronie danych osobowych, bo RODO jest, co do zasady, aktem prawnym bezpośrednio obowiązującym w krajach Unii. Polska ustawa skupiona jest bardziej na wdrożeniu unijnych przepisów do polskiego porządku prawnego i nie reguluje tak szczegółowych kwestii, jak udostępnianie konsumentom kopii ich danych.

Moim zdaniem kwestie, które są związane z ”kopią danych”, a które mogą być dla nas ważne to:

  1. Informacja o możliwości pobrania „kopii danych”;
  2. Sposób pobrania „kopii danych”;
  3. Czas oczekiwania na „kopię danych”;
  4. Zakres danych udostępnianych w „kopii danych”;
  5. Informacje dotyczące zasad przetwarzania naszych danych udostępnianych w „kopii danych”;
  6. Odpłatność za „kopię danych”;
  7. Częstość pobierania „kopii danych”.

Teraz krótko omówię każdy z tych punktów.

 

Informacja o możliwości pobrania „kopii danych”

Dużą uwagę RODO przywiązuje do zasady przejrzystości. Chodzi o to, aby informacje związane z przetwarzaniem naszych danych, były dla nas łatwo dostępne i zrozumiałe. W szczególności, zasada ta odnosi się do naszego prawa do uzyskania od administratora, informacji o przetwarzanych naszych danych osobowych. W motywie 39 preambuły do RODO jest napisane:

Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.

Informacje o możliwości pobrania swoich danych znajdziemy na stronie https://www.bik.pl/rodo w sekcji „Jakie prawa Ci przysługują?”, a o sposobie realizacji tego prawa w sekcji „Jak możesz zrealizować swoje prawa?”.

Źródło: https://www.bik.pl/rodo [dostęp: 29.03.2019]

Źródło: https://www.bik.pl/rodo [dostęp: 29.03.2019]

Źródło: https://www.bik.pl/rodo [dostęp: 29.03.2019]

Można więc przyjąć, że komunikaty dotyczące możliwości pobrania kopii swoich danych z BIK są jasne i wystarczające.


Sposób pobierania „kopii danych”

W RODO (artykuł 15 ust. 1) jest napisane, że właściciel danych jest uprawniony do uzyskania dostępu do tych danych. Właścicielem naszej historii kredytowej jesteśmy my. Zatem mamy prawo dowiedzieć się, jakie dane o nas zgromadził BIK.

Jeżeli chcemy otrzymać te informacje, to musimy się o nie zwrócić do BIK. To jest bardzo ważne, bo to oznacza, że dostaniemy z BIK „kopię danych” tylko wtedy, gdy o nią wystąpimy.

A wystąpić możemy na kilka sposobów:

  1. Osobiście – odwiedzamy Centrum Obsługi Klienta BIK;
  2. Pocztą tradycyjną – wysyłamy pismo (najlepiej list polecony) na adres Centrum Obsługi Klienta BIK;
  3. E-mailem uwierzytelnionym podpisem kwalifikowanym;
  4. Elektronicznie – poprzez konto na Portalu BIK, które – jeżeli jeszcze go nie posiadamy – możemy w każdej chwili założyć (opis, jak takie konto założyć można znaleźć na stronie BIK).

Wiele osób zauważyło, że nie można złożyć wniosku elektronicznie, wysyłając go jako zwykły mail (bez bezpiecznego kwalifikowanego podpisu elektronicznego). A to byłby najprostszy sposób dla wielu z nas. I rzeczywiście takiej możliwości nie ma.

Można jednak uznać, że te możliwości, które BIK aktualnie nam proponuje, pozwalają złożyć wniosek o „kopię danych” każdemu z nas.


Sposób udostępnienia „kopii danych” przez BIK

RODO zajęło stanowisko także w kwestii sposobu udostępnienia nam przez administratora kopii naszych danych. Zapewnia nam uzyskanie takiej kopii drogą elektroniczną, o ile tą drogą złożymy wniosek o nasze dane (artykuł 15 ust. 3).

I BIK realizuje to postanowienie. Jeżeli wniosek o „kopię danych” złożymy za pomocą Formularza kontaktu na Portalu BIK (za pośrednictwem swojego konta), to BIK udostępni „kopię danych” w postaci pliku pdf i będzie on do obejrzenia i pobrania po zalogowaniu się do swojego konta na Portalu BIK.

Wersja elektroniczna trafi do nas również wtedy, gdy wniosek wyślemy email-em uwierzytelnionym podpisem kwalifikowanym.

Z kolei wniosek złożony osobiście lub wysłany pocztą tradycyjną spowoduje, że „kopię danych” otrzymamy w wersji papierowej.

Możemy więc powiedzieć, że BIK spełnia wymagania RODO w zakresie dostarczania nam kopii naszych danych kanałem elektronicznym. Choć zapewne wiele osób chciałoby wysłać wniosek o „kopię danych” zwykłym mailem i w ten sam sposób ją otrzymać.


Czas oczekiwania na „kopię danych”

W motywie 59 preambuły do RODO (jest to komentarz do art. 12 ust. 3 i 4 RODO) jest napisane:

Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.

W mailu potwierdzającym złożenie wniosku o „kopię danych” za pośrednictwem Portalu BIK, jesteśmy informowani, że czas oczekiwania na ten raport wynosi do 30 dni. I BIK udostępnia standardową „kopię danych” zazwyczaj ok. 30 dnia od wpłynięcia wniosku.

Jeżeli złożymy reklamację na zbyt wąski zakres danych, jaki otrzymaliśmy w „kopii danych”, to zazwyczaj musimy czekać kolejne 30 dni na udostępnienie brakujących informacji. Chyba, że będziemy aktywnie wysyłać do BIK zapytania, kiedy te dane otrzymamy. Wtedy czasami udaje się uzyskać je wcześniej. Zatem w skrajnym przypadku, na pełną kopię naszych danych możemy czekać nawet ok. 2 miesięcy.

Jak to ocenić z punktu widzenia RODO? Jeżeli to uzupełnienie danych przez BIK traktujemy jako odpowiedź na naszą reklamację, to terminy oczekiwane przez RODO są zachowane. Jeżeli natomiast przyjmiemy, że kopią naszych danych są oba raporty łącznie, to termin wskazany w preambule nie jest dotrzymany.


Zakres danych udostępnianych w „kopii danych”

W zasadzie tę kwestię omówiłam dokładnie w dwóch poprzednich tekstach poświęconych „kopii danych” z BIK. Teraz tylko to podsumuję.

BIK udostępnia rzeczywistą kopię naszych danych w dwóch oddzielnych raportach.

W odpowiedzi na pierwszy wniosek o udostępnienie kopii swoich danych, otrzymamy „kopię danych”. Jak się zorientujemy (a o to nie trudno), że udostępniony raport nie zawiera wielu ważnych informacji o naszych zobowiązaniach, które znajdują się w bazie BIK i złożymy stosowną reklamację, to BIK udostępnia nam dodatkowy raport – doszczegółowienie „kopii danych”. Ten raport odzwierciedla już istotne dane o naszych zobowiązaniach, które BIK zgromadził w swoich zbiorach.

I tu ważna uwaga. Aby mieć użytek z tych dodatkowych danych, trzeba analizować oba raporty łącznie – „kopię danych” i jej doszczegółowienie.

Podsumowując, jeżeli przyjmiemy, że ten połączony zakres danych to kopia naszych danych zgromadzonych w BIK, to – w mojej ocenie – BIK spełnia oczekiwanie RODO. Jeżeli natomiast uznamy, że kopią naszych danych udostępnianą przez BIK, jest tylko ten pierwszy raport, a drugi jest odpowiedzią na naszą reklamację, to nie jest to zgodne z RODO.


Zakres informacji dotyczących zasad przetwarzania naszych danych udostępnianych w „kopii danych”

W artykule 15 RODO wskazanych jest kilka informacji, o których BIK powinien nas poinformować jako administrator naszych danych osobowych. Te informacje obejmują:

„ (..)

a) cele przetwarzania;

b) kategorie odnośnych danych osobowych;

c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

f) informacje o prawie wniesienia skargi do organu nadzorczego;

g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.”

W „kopii danych” BIK przekazuje nam szereg z tych informacji. I tak:

  • cele przetwarzania naszych danych są opisane ogólnie, ale są wszystkie, o których powinniśmy być poinformowani;
  • kategorie odnośnie danych osobowych są przedstawione, ale bardzo ogólnie i nie każdy się zorientuje, które informacje o tym mówią;
  • informacje o odbiorcach są przedstawione, ale – moim zdaniem – nie zawsze wystarczająco czytelnie;
  • okresy przetwarzania danych są podane dość dokładnie;
  • informacje o przysługujących nam prawach znajdziemy w „kopii danych”, ale nie są one zbyt pomocne, bo są one tylko nazwane, bez wyjaśnień co oznaczają i jak można je zrealizować;
  • informacje o źródle skąd pochodzą dane są dokładne, bowiem przy każdym kredycie i zapytaniu jest informacja o tym, jak instytucja je przekazała do bazy BIK;
  • informacje o profilowaniu to najsłabiej zrealizowany obowiązek informacyjny. W „kopii danych” jest tylko wzmianka o tym, że BIK przetwarza nasze dane w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w tym z wykorzystaniem profilowania. RODO wymaga jeszcze kilku innych informacji w tym zakresie – założeń zautomatyzowanego przetwarzania danych osobowych, a także przewidywanych konsekwencjach profilowania (motyw 63 preambuły do RODO).

Jak widać, w „kopii danych” wymagania informacyjne dotyczące zasad przetwarzania naszych danych przez administratora, nie zawsze są wystarczająco jasno przedstawione.

Ale pamiętajmy, że informacje o zasadach przetwarzania danych mogą być podane także w inny sposób np. poprzez ich publikacje na stronie internetowej administratora. Tak wynika z motywu 58 preambuły do RODO:

Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane. Informacje te mogą być przekazywane w formie elektronicznej, na przykład za pomocą strony internetowej, gdy są kierowane do ogółu społeczeństwa.

BIK korzysta z tej możliwości i publikuje informacje o zasadach przetwarzania naszych danych na stronie https://www.bik.pl/rodo.

W wielu przypadkach znajdziemy tam to, czego brakuje w informacjach zawartych w „kopii danych” i – przede wszystkim – informacje te są przedstawione w bardziej przejrzysty i zrozumiały sposób. Wobec tego, jeżeli chcemy się dowiedzieć, jakie to są zasady, to lepiej jest skorzystać z informacji zawartych na stronie internetowej BIK, niż starać się zrozumieć to, co jest przekazane w „kopii danych”.

Podsumowując, zawarte w „kopii danych” informacje dotyczące zasad przetwarzania przez BIK naszych danych, w mojej ocenie, nie zawsze spełniają wymagania RODO. Ale to nie ma znaczenia, bowiem szersze informacje na ten temat są dostępne dla nas na stronie internetowej BIK. I to już trzeba uznać za spełnienie wymagań RODO.

Nawiasem mówić, choć BIK odniósł się do profilowania, to nie do końca przedstawia to, co – w mojej ocenie – oczekuje RODO. Ale to jest już inny temat.


Odpłatności za „kopię danych”

Pytanie, czy zawsze „kopię danych” otrzymamy za darmo, skoro RODO zobowiązuje do jej udostępniania właścicielom danych? I tak, i nie.

Z RODO wynika, że pierwsza kopia danych jest za darmo, a za kolejne administrator danych może pobrać opłatę wynikającą z kosztów administracyjnych (Artykuł 15 ust. 3).

Co robi BIK w tej kwestii? BIK „kopię danych” udostępnia bezpłatnie, jeżeli wystąpimy o nią nie częściej niż co 6 miesięcy. Za „kopię danych” pobraną częściej, trzeba zapłacić 21 zł brutto.

Z BIK uzyskałam informację, że:

„Odpłatność za udostępnienie informacji uwzględnia ewentualne dodatkowe wyjaśnienia BIK na zgłoszone przez klienta wątpliwości.”

Taką odpowiedź otrzymałam na pytanie dotyczące zawartości „kopii danych”, za którą będziemy musieli zapłacić. Innymi słowy, zapytałam, czy jest to cena tylko za standardową „kopię danych” pobraną częściej niż raz na 6 miesięcy, czy też obejmuje ona jej doszczegółowienie. Według mnie, odpowiedź BIK wskazuje, że podana cena obejmuje także dane, jakie BIK udostępni nam po zgłoszeniu wątpliwości do zbyt wąskiego zakresu danych znajdujących się w standardowej „kopii danych”.

Możemy więc powiedzieć, że polityka cenowa BIK dotycząca „kopii danych”, mieści się w wymaganiach RODO.

Inną kwestią jest to, czy 21 zł to jest opłata „w rozsądnej wysokości”, która wynika z kosztów administracyjnych. Jeżeli przyjmiemy, że tak, to rzeczywiście polityka cenowa BIK związana z „kopią danych” jest zgodna z RODO.


Częstość pobierania „kopii danych”

RODO nie określa, jak często możemy żądać dostępu do „kopii danych”, ale w motywie 63 preambuły do RODO jest napisane:

Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem.

Zauważcie, że w tym motywie jest mowa o „rozsądnych odstępach czasu”. Zatem występowanie o „kopię danych” codziennie mogłoby być uznane za „nierozsądny” odstęp czasu.

Niestety nie wiem, czy BIK komuś odmówił udostępnienia „kopii danych” z powodu zbyt częstego wnioskowania o nią. Jeżeli BIK pobiera opłatę za częstsze udostępnienie tego raportu, to może nie robić z tym problemu.

Podsumowując, wygląda na to, że kwestią nierozstrzygniętą pozostaje sprawa zakresu danych, jakie BIK udostępnia nam w „kopii danych”. Czy „kopia danych” z BIK jest już kopią naszych danych zgromadzonych w tej bazie? Czy też kopią jest „kopia danych” wraz z jej rozszerzeniem?  To jest chyba podstawowa wątpliwość do realizacji przez BIK obowiązku zapewnienia nam dostępu do naszej historii kredytowej, która znajduje się w tej bazie. Pamiętajmy też, że obowiązek informowania nas o zasadach przetwarzania naszych danych, BIK nie musi spełniać poprzez „kopię danych”. Może to zrobić także na przykład za pośrednictwem swojej strony internetowej.

.

Czy te informacje są dla Ciebie interesujące? Podziel się swoją opinią. Jeśli masz konkretne pytania dotyczące tego tematu, to możesz je zadać wykorzystując formularz „Zadaj pytanie” lub w komentarzu.

Poleć artykuł w mediach społecznościowych, aby więcej osób mogło się dowiedzieć jak „kopia danych” z BIK wypada w świetle wymagań RODO.

Pin It

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *